表1 主要3部署の業務内容
|
情報システム部 |
企画部 |
サービス部 |
業務概要 |
Rシステムの運用管理,情報セキュリティ対策支援 |
航空会社やホテルと提携したパッケージ旅行の企画 |
会員登録,会員に対するパッケージ旅行の販売,航空券の予約受付・販売 |
業務で扱う情報 |
社員などの個人情報,情報システム設計書 |
航空会社との共同作業による企画情報(機密情報を含む) |
会員の個人情報(パスポートの情報,個人の機微情報を含む) |
主管する情報システム |
社内Webサーバ,メールサーバ,共用ファイルサーバ,ネットワーク管理サーバ |
Webサーバ(広告,宣伝) |
旅行予約サーバ(会員の個人情報,予約情報など),Webサーバ(Web販売) |
責任者 |
M部長 |
(省略) |
N部長 |
セキュリティ担当者 |
F君 |
(省略) |
G君 |
セキュリティ区画 |
執務室,サーバ室 |
執務室 |
執務区画(接客区画と執務区画はカウンタで仕切られている) |
入室制限 |
社員やベンダSEがサーバ室に入室する際に,虹(こう)彩による認証が必要 |
部外者が執務室に入室する際に,受付社員による本人確認が必要 |
会員は執務区画には入室不可 |
印刷出力 |
執務室の共用プリンタ,サーバ室の共用プリンタ |
執務室の共用プリンタ |
執務区画内の共用プリンタ |
主な外部委託業務 |
Rシステムの運用管理・保守,利用者IDの登録・削除・変更など |
パッケージ旅行のパンフレットの印刷 |
ダイレクトメール(以下,DMという)の発送 |
その他 |
Rシステムのネットワーク管理サーバはサーバ室に設置 |
企画部が独断で設置したファイルサーバのログは採取されていない |
会員の個人情報の利用は,J社内部に限られている |
M部長: |
表2の自己点検の結果を見ると,サービス部では,アクセス制御と外部委託管理の浸透度が低いようです。外部委託管理はどのように実施していますか。
|
N部長: |
販売促進のために,会員に対して毎月DMを送付している。その都度,複数の業者に発送作業を委託しているが,付き合いの長い業者ばかりで問題も起きていないことから,業者への立入調査は行っていない。
|
M部長: |
個人情報保護法では,委託先の[ d ]が条文に明記されているので,DM発送の外部委託には十分に注意してください。
|
N部長: |
個人情報保護は,近年になって急に重要度が高まってきているにもかかわらず,DM発送の委託先とはそれ以前からの付き合いということもあって,リスクとしての認識が甘かったかもしれないな。
|
M部長: |
ところで,会員の旅行日程表や予約確認書などの個人情報を記した書類はどのように印刷しているのかね。
|
G君: |
外来者が近づきにくい執務区画にプリンタを設置して,許可された人だけが印刷しています。また,個人情報を扱う業務では,従業者は,PCから旅行予約サーバにアクセスし,そのサーバで実行されているWebアプリケーションを介してデータを取り出し,PCのJavaアプレットでレイアウトして,プリンタに送って印刷しています。このレイアウトの際,Javaアプレットが背景に“機密情報”という文字を挿入しているので,従業者に注意を喚起することができます。
|
M部長: |
個人情報であるという注意は喚起されているが,だれが印刷したかは分からない。印刷物をプリンタのトレイに置き忘れて,別の従業者が取り違えるようなことはないのかね。
|
G君: |
はい。ある従業者が出力した印刷物を,ほかの従業者が自分の印刷物と一緒に取り出してしまい,別の会員に渡してしまったというミスが過去にありました。
|
M部長: |
最新のプリンタには,WebアプリケーションやJavaアプレットなどを変更せずに,〔1〕そのようなミスをなくすための仕組みを実現できるものがあるので,導入を検討してみてはどうかね。ところで,Web販売の海外航空券を提携代理店の窓口で手渡しできるようにするサービス項目の追加について,情報セキュリティ面から検討はしたのかね。
|
G君: |
Web販売では,会員からの入力データがSSLで保護されています。予約結果の確認は,平文のメールで会員に送っています。このメールには,予約番号,旅行者情報,旅行日程などが含まれています。このシステムは4年前から稼働しており,実績があるので,今回のサービス項目の追加によって情報セキュリティ対策を見直す必要はないと考えています。
|
M部長: |
今回のサービス項目の追加は,提携代理店での受渡しなのでリスクが変わるはずだ。
|
G君: |
予約番号を示して海外航空券を受け取ることは従来と同じなので,リスクも変わらないと考えました。
|
M部長: |
それは違うはずだ。予約番号を不正に入手した者による[ e ]のリスクが高くなっている。提携代理店の窓口で海外航空券を手渡す場合には[ ウ ]を徹底するなどの対策が必要だ。
|
G君: |
分かりました。
|